Skip to content

Salaamaton salasana vaarantaa kaiken

Kun tunnistautuminen nojaa edelleen vahvasti salasanoihin, niiden turvallinen säilytys ratkaisee koko organisaation suojan. 
Blogi
/
24.3.2026
Tietoturva ja tietosuoja, salasanat, kyberturva

Salaamaton salasana vaarantaa kaiken

Aloitetaan tämä nyt napakasti , niin kaikki varmasti muistavat: Salasanoja ei säilytetä selkokielisenä tekstinä. Ei selaimessa, ei Excelissä, ei muistiinpanoissa eikä missään vastaavassa paikassa. Ei edes puhelimessa.

Yhteinen salaisuutemme

Salasanat ovat olleet pitkään keskeisin keino vahvistaa se, että olemme keitä väitämme olevamme. Väittäessäni olevani Mika kirjoittamalla käyttäjätunnuksen kenttään, on koneella lähes aina seuraavana vaiheena varmistaa tuo väite pyytämällä minulta salasanaa. Se on asia, jonka vain minun tulisi tietää ja joka on liitetty identiteettiini. Se on koneen ja minun välinen yhteinen salaisuus, josta ei muille kerrota.

Erilaiset tunnistautumisen lisämenetelmät tai jopa kokonaan salasanattomat tavat ovat tulleet osaksi järjestelmiä, mutta siltikin perinteinen salasana on merkittävässä roolissa kyberturvallisuudessa. Niiden avulla tehdään pitkälti päätös siitä, päästetäänkö käyttäjä järjestelmään ja niiden tietojen äärelle, joihin hänellä on oikeudet.

Vaikeaa, niin vaikeaa

Salasanoihin liittyy olennaisesti niiden tuoma turvallisuus. En sukella tässä syvälle tunnistusmenetelmiin, mutta todetaan universaali totuus: salasanoissa pidempi on turvallisempi, ja merkistön monimuotoisuus tuo lisäsuojaa. Suomeksi tämä tarkoittaa sitä, että meitä vaaditaan muistamaan pitkiä ja monimutkaisia merkkijonoja. Ne eivät myöskään saisi olla yleisesti tunnettuja sanoja.

Joskus takavuosina turvallisena pidetty 8 merkin mittainen salasana on jo kauan sitten jäänyt historiaan. Nykyisin keskustellaan mielellään vähintään 15 merkin salasanoista normaalissa käyttötilanteessa. Näitä tarvitaan päivittäin useita, ja viikoittain kymmeniä. Siihen päälle vielä ne harvemmin tarvittavat, joita ei kukaan ikinä muista. Käyttäjän näkökulmasta tämä on vaikeaa, niin vaikeaa.

Säilytyksen sietämätön sekasotku

Keltaisten muistilappujen liimaaminen näytön kulmaan alkaa olla jo vanhanaikaista. Meidät on "piiskattu" niistä eroon, ja olemmekin päätyneet tallentamaan salasanoja ”piiloon” esimerkiksi Excel-taulukoihin, tekstitiedostoihin ja selaimeen. Näiden kaikkien turvallisuus on kuitenkin vähän niin ja näin.

Kaikki selkokieliset tai heikosti salatut salasanat ovat rikollisten kannalta haluttua tavaraa. Vähimmillään ne vaarantavat yksittäisen käyttäjän identiteetin ja pahimmillaan antavat väylän organisaation arkaluontoisimpaan tietoon. Salaamaton salasana siis vaarantaa pahimmillaan kaiken.

Kohteena salasanat

Windows-maailmassa on jo pitkään kärsitty haittaohjelmista, jotka etsivät suojaamattomia salasanoja selaimista ja tiedostoista. Tietomurtojakin on tehty löytämällä Excel-taulukoita, joihin salasanat on listattu yhteiseen käyttöön kaikkien luettavaksi. Myös puhelimien kanssa saa olla varovainen. Esimerkiksi IPTV-sovellusta teeskentelevä haittaohjelma kaiken muun ikävän ohella skannaa muistiinpanosovellukset (kuten Google Keep, Evernote, OneNote ja Samsung Notes) etsien salasanoja ja tilinumeroita.

Holvissa ne ovat turvassa

Tehdäänpä asia selväksi vielä uudestaan selväksi. S lasanoja ei säilytetä selkokielisenä tekstinä. Ei selaimessa, ei Excelissä, ei muistiinpanoissa eikä missään vastaavassa paikassa. Ei edes puhelimessa.

Salasanat kuuluvat "holviin" eli salattuun tallennuspaikkaan. Näitä on karkeasti kolmea tyyppiä:

  • Paikallinen holvi: Omalla koneella, sopii teknisesti taitavalle yksittäiselle käyttäjälle.
  • Organisaation oma holvi: Yhteiskäyttöinen ratkaisu, jossa kontrolli pysyy omissa käsissä.
  • Palveluna hankittu holvi (SaaS): Helpoin tapa useimmille varmistaa turvallinen säilytys.

Kuten mikään teknologia, myöskään holvit eivät ole 100 % murtovarmoja, mutta ne ovat huomattavasti turvallisempia kuin edellä kuvatut "viritelmät". On hyvä muistaa, että holvinkin käyttö vaatii huolellisuutta, ajantasaisia päivityksiä ja turvallisia perusasetuksia.

 

Kirjoittaja: Mika Lindberg, Opsec Oy liiketoimintajohtaja

Mika Lindberg on Opsec Oy:n kyberturvallisuudesta vastaava ja liiketoimintajohtaja. Mika on toiminut IT-alalla yli 25 vuotta, joista viimeiset 15 kyberturvaan painottuen. Hänellä on laaja-alaisesti kokemusta pk-yritysten kyberturvallisuuden järjestämisestä ISO27001 perusteisesti ja hän tuntee myös hallitustyöskentelyn. Mikalla on useita kansainvälisesti tunnettuja kyberturvallisuussertifiointeja ja HHJ-tutkinto. Tällä hetkellä hänellä on työn alla kyberturvallisuuden maisteriopintojen pro gradu työ minkä aiheena kyberturvallisuus pk-yritysten kilpailuedun tekijänä. 

Mika Lindberg
liiketoimintajohtaja, Opsec Oy
020 198 6698
Jaa artikkeli:

Lisää aiheeseen liittyviä artikkeleita

Blogi
16.4.2024
Tekoälyn loihdinta
Uutiset
Rauhala
Blogi
10.6.2025
Jari Ala-Varvi saavutti arvostetun kansainvälisen tietosuojan huippuasiantuntijan tunnustuksen – Fellow of Information Privacy (FIP)
Blogi
16.5.2025
Viisi kysymystä tietoturvallisuudesta, vastaajana Mika Lindberg